Вращение журнала событий Windows?
Windows Server 2003
Есть ли способ легко вращать журналы событий (или автоматически очищать и сохранять)? Я провожу небольшой аудит на этой машине, и мой журнал безопасности становится очень быстрым, и каждые две недели я должен помнить, чтобы сохранять и очищать его.
Да, я мог бы положиться на задания резервного копирования и включить перезапись... но было бы лучше, если бы я мог просто заставить Windows автоматически сохранять и очищать журнал, когда он приближается к емкости.
3 ответа
Кажется, что большинство людей не знают об этой функции, но Windows будет поворачивать файлы журнала автоматически, если это настроено. Ищите "AutoBackupLogFiles" в этом файле.
Вы можете настроить это для каждого сервера отдельно, но это утомительно для большого количества серверов. Я создал административный шаблон, чтобы установить его на серверных компьютерах, а затем написал сценарий запуска, чтобы добавить запланированное задание для периодической загрузки, архивации и перемещения файлов журнала в место хранения. Это работало очень хорошо, и было дешево!
Вот скрипт VBS, который сохранит ваш журнал событий и очистит его. Поместите это в запланированное задание. Обратите внимание, что конкретный журнал событий указан в строке 3 скрипта, и вам, очевидно, нужно настроить целевой путь.
Код "заимствован" (т.е. украден) из MSDN.
strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery("Select * from Win32_NTEventLogFile Where LogFileName='Application'")
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("c:\\application" & year(Now) & "_" & month(Now) & "_" & day(Now) & "_" & hour(now) & "_" & minute(now) & ".evt")
objLogFile.ClearEventLog
Next
Чтобы увидеть настраиваемые параметры для настраиваемого шаблона ADM, вам, вероятно, нужно щелкнуть меню "Вид" и снять флажок "показывать только те параметры политики, которыми можно полностью управлять".